[Valeant]

The_Crystal,
Процесса два. и должно быть два.
1. C:\Windows\system32\csrss.exe -
Потоки
winsrv.dll
csrsrv.dll
2. C:\Windows\system32\csrss.exe -
Потоки
cdd.dll
winsrv.dl
csrsrv.dll
Запущена служба
C:\Windows\system32\conhost.exe - Окно консоли узла

Цитата:

Множество вирусов использует данное имя приложения, чтобы не вызвать подозрения у пользователя, тем более что для каждого терминального доступа создаётся отдельный экземпляр файла, поэтому на серверных машинах их количество может доходить до нескольких десятков. Оригинальный файл хранится только в папке system32. Наличие такого имени файла в других каталогах признак заражения.